SI - A
UNIVERSITAS BRAWIJAYA
MALANG
2019
RESUME TUGAS MATA KULIAH
EVALUASI DAN AUDIT SISTEM INFORMASI
PROSES AUDIT
SI - A
UNIVERSITAS BRAWIJAYA
MALANG
2019
Proses Audit
Beriku tahapan dalam proses audit:
Audit charter harus secara jelas menyatakan pernyataan tanggung jawab manajemen, tujuan
mereka, dan pendelegasian wewenang. Audit charter menguraikan tanggung jawab, wewenang, dan
akuntabilitas Anda.
Preplanning Specific Audits
Audit charter memungkinkan pendelegasian audit ke organisasi eksternal melalui surat keterlibatan.
Surat keterlibatan dapat membantu mendefinisikan hubungan menjadi independen auditor untuk
penugasan individu. Surat itu mencatat pengertian antara komite audit dan auditor independen.
Langkah pertama dalam perencanaan adalah untuk bertanya, "Apa tujuan dari audit khusus ini?"
Tujuannya mungkin kepatuhan terhadap standar tertentu, audit pengawasan sebagai tindak lanjut
untuk menentukan apakah staf masih mematuhi prosedur mereka sendiri, atau sesuatu yang baru.
Metode yang sangat baik untuk menentukan ruang lingkup adalah memulai bertanya diskusi
pertanyaan tentang enam bidang utama. Ingat, ruang lingkup didefinisikan sebagai batas dari apa
yang ada termasuk dan apa yang tidak. Berikut beberapa pertanyaan dari berbagai topik:
1. Management
Apa aturan dan tujuan bisnis?
Sudahkah manajemen secara formal mengadopsi standar yang harus diikuti?
Apakah manajemen memerlukan sistem mereka untuk disertifikasi?
Apakah manajemen eksekutif memberikan akreditasi perangkat keras/lunak dengan
lengkap sebelum mulai berproduksi?
2. Data
Data apa yang terlibat?
Apakah ini data pelanggan, data Teknik, data keuangan?
Adakah peraturan yang mengatur pembatasan data, penggunaan yang dapat
diterima atau tidak dapat diterima?
3. Intended Usage in Their Workflow
Bagaimana data ini digunakan?
Untuk apa ini?
Mungkin operasi manual?
Apakah itu bagian dari aplikasi perangkat lunak?
Mintalah digram alur kerja mereka.
4. Technology Platform
Apakah data ini dikendalikan dalam program komputer?
Di lemari arsip?
Ditransmisikan secara nirkabel di ponsel?
Apakah anda memiliki presentasi multimedia yang mengesankan yang
memanfaatkan keunggulan Apple Macs?
Apakah Oracle platform yang financial?
Apakah layanan telepon menggunakan Voice over Internet Protocol (VoIP)?
Apakah pengguna memerlukan layar LCD dalam kacamata hitam?
Apakah tujuan untuk mengurangi dukungan pengguna akhir?
Apakah Anda akan beralih dari Microsoft ke server Unix untuk penghematan biaya
dalam lisensi pengguna?
5. Facilities
Di mana pekerjaan dilakukan?
Apakah sistem utama berada di sini atau di tempat lain?
Berapa banyak ruang yang dibutuhkan untuk mengakomodasi staf?
Di mana pelanggan berada?
Di mana subkontraktor terletak untuk pekerjaan yang di-outsourcing-kan?
Berapa banyak fasilitas yang terlibat?
Apakah kita memerlukan izin keamanan khusus untuk mendapatkan akses?
Apakah pengujian saringan obat HIPAA yang normal diperlukan untuk orang dengan
akses istimewa, termasuk auditor?
6. People Involved
Siapa orang yang akan kita ajak kerja sama di sisi klien?
Siapa orang-orang di pihak yang diaudit?
Menggunakan matriks keterampilan untuk referensi, siapa yang tersedia untuk
menjadi anggota tim audit?
Apakah kami memiliki pakar teknis yang sesuai?
Siapa pengamat dan auditor dalam pelatihan proyek ini?
Apakah ada peserta yang mengalami konflik perjalanan atau pembatasan jadwal?
Dalam penilaian risiko audit harus mempertimbangkan jenis-jenis risiko. Berikut ini adalah jenis-jenis
risiko yang perlu dipertimbangkan dalam penilaian:
1. Inherent Risks : risiko alami atau bawaan yang memang selalu ada.
2. Detection Risks : risiko bahwa auditor tidak akan dapat mendeteksi apa yang sedang dicari.
Terdapat 2 tipe dalam Detection Risk yaitu:
Sampling Risks : risiko yang akan diterima oleh auditor secara keliru menolak bukti
audit.
NonSampling Risks : risiko bahwa auditor akan gagal mendeteksi suatu kondisi
karena tidak menerapkan prosedur yang sesuai
3. Control Risks : risiko bahwa auditor dapat kehilangan kendali, kesalahan apapun dapat
terjadi.
4. Business Risks : risiko yang melekat pada bisnis atau industry itu sendiri.
5. Technological Risks : risiko yang melekat pada penggunaan teknologi otomatis
6. Operational Risks : risiko yang proses atau prosedurnya tidak akan dilakukan dengan benar
7. Residual Risks : risiko yang tetap ada setelah semua upaya mitigasi dan pengendalian sudah
dilakukan.
8. Audit Risks : kombinasi risiko inheren, deteksi, control dan residual. Apakah audit yang
dilakuakan dapat membuktikan atau menyangkal sasaran sasaran secara akurat? Apakah
ruang lingkup audit, alokasi waktu, kekuatan politik sponsor, prioritas, dan kemampuan
teknis yang tersedia memadai?
Dalam menanggapi adanya resiko tersebut. Beberapa cara yang dapat dilakukan antara lain:
1. Menerima risiko
2. Mengurangi risiko
3. Memindahkan risiko
4. Menghindari risiko
Tahap ini adalah tahap setelah dilakukannya Risk Assessment. Maka dari itu perlu dilakukan analisis
apakah memungkinkan dilakukan Audit atau tidak. jika tidak memungkinkan, maka prosesnya akan
kembali Risk Information About Auditee dan ke tahap Risk Assessment lagi. Jika Audit ini
memungkinkan, maka akan ke tahap proses selanjutnya yaitu Performance of Audit Work.
1. Selecting the Audit Team : melakukan pemilihan anggota dan membuat tim audit
2. Determining Competence and Evaluating Auditors : menentukan standar dalam pemilihan
anggota tim audit
3. Creating a Skill Matrix : membuat matriks skill untuk meyakinkan bahwa anggota tim
berkualitas dan sesuai
4. Using the Work of Other People : menentukan bukti-bukti apa saja yang perlu dievaluasi
yang dilakukan oleh auditor
5. Ensuring Audit Quality Control : penentuan kualitas control dalam mengevaluasi atau
mengaudit yang dilakukan auditor
6. Establishing Contact with the Auditee : auditor membangun bagaimana kominikasi dengan
seorang auditee untuk mengevaluasi suatu bukti atau temuan
7. Making initial Contact with the Auditee : auditor akan berkomunikasi dengan auditee
8. Communications Schedule : membuat penjadwalan komunikasi
9. Using Data Collection Techniques : melakukan pencarian bukti atau temuan yang dapat
dilakukan dengan beberapa cara yaitu
Staff observation
Survey
Document review
Interview
Workshop
Computer Assisted Audit Tools “CAAT”
Technical Testing dan analysis
10. Conducting Document Review : melakukan tinjauan dokumen yang dilakukan auditor
11. Understanding the Hierarchy of Internal Control : Auditor harus memberikan pertimbangan
terhadap dua masalah terkait pengendalian internal Management is often exempt from
control dan How controls are implemented determines the level of assurance.
12. Reviewing Existing Controls : melakuakan review atau peninjauan pengendalian yang sudah
ada.
13. The Secret of Strong Controls : audit akan dilakukan berdasarkan 9 layer.
14. Preparing the Audit Plan : membuat perencanaan dalam melakukan audit
15. Assigning Work to the Audit Team : audit akan dibagi ke beberapa anggota tim audit
16. Preparing Working Documents : Pencatatan temuan atau bukti sebagai dokumen kerja atau
pelaporan kepada management.
17. Conducting Onsite Audit Activities : dalam melakukan aktivitas audit, seorang auditor akan
mencari kebenarin suatu objek yang dievaluasi dengan beberapa metode pengambilan bukti
1. Using Evidence to Prove a Point : Auditor harus menggunakan bukti dalam audit
2. Understanding Types of Evidence : Auditor menggunakan 2 tipe bukti yaitu bukti langsung
dan bukti tidak langsung
3. Selecting Audit Samples : Auditor perlu memilih sample yang digunakan untuk bahan audit
4. Recognizing Typical Evidence for IS Audits : Auditor harus berusaha mengumpulkan bukti
audit menggunakan teknik yang serupa dengan detektif.
5. Using Computer-Assisted Audit Tools : Alat-alat yang digunakan auditor untuk
mengumpulkan bukti audit.
6. Understanding Electronic Discovery : Auditor diharuskan mengerti dalam penggunaaan
teknologi karena zaman sekarang sudah menggunakan teknologi sehingga temuan bisa
melalui teknologi yang digunakan.
7. Grading of Evidence : Auditor akan memberikan penilaian terhadap bukti-bukti yang terbagi
dalam 4 kriteria antara lain:
Material relevance
Evidence Objectivity
Competency of the Evidence Provider
Evidence independence
8. Timing of Evidence : Auditor harus menyesuaikan waktu dalam penerimaan bukti.
9. Following the Evidence Life Cycle : Bukti atau temuan akan melalui 7 fase siklus hidup dalam
melakukan audit
Conducting Audit Evidence Testing
Seperti yang dinyatakan sebelumnya, metode pengujian dasar yang digunakan adalah pengujian
kepatuhan atau pengujian substantif. Penting bahwa sampel audit yang sesuai dengan metode
pengujian yang Anda pilih telah dikumpulkan. Langkah-langkah dalam melakukan conducting audit
evidence testing antara lain:
1. Compliance Testing : Melakukan pengujian dengan cara memverifikasi kebijakan dan juga
prosedur yang sudah diberlakukan.
2. Substantive Testing : Melakukan sebuah pengujian yang menggunakan sample audit.
3. Tolerable Error Rate : Tingkat kesalahan yang dapat ditoleransi bertujuan untuk
menunjukkkan jumlah kesalahan maksimum yang bisa ada tanpa menyatakan salah satu
material.
4. Recording Test results : Pelacakan semua kesesuaian dan ketidaksesuaian dalam
dokumentasi hasil pengujian anda. Pelacakan dilakukan oleh auditor.
1. Detecting Irregularities and Illegal Acts : penerapan control dan pengawasan yang dilakukan
oleh auditor untuk mendeteksi penyimpangan
2. Indicators of Illegal or Irregular Activity : Mengelompokkan kedalam beberapa indikator yang
dilakukan oleh auditor SI
3. Responding to Irregular or Illegal Activity : Merespon temuan masalah dan memeriksa
bagian manajemen yang bermasalah
4. Findings Outside of Audit Scope : pengelompokan kedalam minor dan major problem oleh
auditor
Report Findings
Tahap ini adalah melaporkan temuan dari auditor. Langkah-langkah dalam Report Findings antara
lain:
1. Approving and Distributing the Audit Report : pendistribusian draft laporan kepada personel
yang diaudit
2. Identifying Omitted Procedures : Pengecekan draft laporan audit oleh auditor agar
alternative yang diajukan benar-benar sesuai